基于深度强化学习的二进制代码模糊测试方法

漏洞挖掘是计算机软件安全领域的主要研究方向,其中模糊测试是重要的动态挖掘方法。为解决二进制代码漏洞挖掘中汇编代码体积庞大导致检测既困难又耗时、模糊测试效率低下等问题,提出基于深度强化学习的二进制代码模糊测试方法。首先将模糊测试过程建模为面向强化学习的多步马尔可夫决策过程,通过构建深度强化学习模型辅助模糊测试变异策略选择,实现对变异策略的动态优化。然后设计和搭建基于深度强化学习的二进制代码模糊测试平台,利用AFL实现模糊测试环境,并使用Keras-RL2库和OpenAI Gym框架实现深度强化学习算法和强化学习环境。最后通过实验分析来验证所提方法和测试平台的有效性和适用性,实验结果显示深度强化学习模型能够辅助模糊测试过程快速覆盖更多路径,能够暴露更多漏洞缺陷,显著提高二进制代码漏洞挖掘和定位的效率。

基于Jump-SBERT的二进制代码相似性检测技术研究

二进制代码相似性检测技术在不同的安全领域中有着重要的作用。针对现有的二进制代码相似性检测方法面临计算开销大且精度低、二进制函数语义信息识别不全面和评估数据集单一等问题,提出了一种基于Jump-SBERT的二进制代码相似性检测技术。Jump-SBERT有两个主要创新点,一是利用孪生网络构建SBERT网络结构,该网络结构能够在降低模型的计算开销的同时保持计算精度不变;二是引入了跳转识别机制,使Jump-SBERT可以学习到二进制函数的图结构信息,从而更加全面地捕获二进制函数的语义信息。实验结果表明,Jump-SBERT在小函数池(32个函数)中的识别准确率可达96.3%,在大函数池(10000个函数)中的识别准确率可达85.1%,比最先进(State-of-the-Art,SOTA)的方法高出36.13%,且Jump-SBERT在大规模二进制代码相似性检测中的表现更加稳定。消融实验表明,两个主要创新点对Jump-SBERT均有积极作用,其中,跳转识别机制的贡献最高可达9.11%。

软件二进制代码重用技术综述

在当前的计算机系统架构和软件生态环境下,ROP(return-oriented programming)等基于二进制代码重用的攻击技术被广泛用于内存漏洞利用.近年来,网络空间安全形势愈加严峻,学术界、工业界分别从攻击和防护的角度对二进制代码重用技术开展了大量研究.首先介绍了二进制代码重用技术的基础.然后分析了二进制代码重用攻击技术的演变和典型攻击向量.同时,对基于控制流完整性和随机化的防护方法进行了讨论,对工业界最新的二进制代码重用防护机制CET(control-flow enforcement technology)和CFG(control flow guard)进行了剖析.最后讨论了二进制代码重用技术今后的发展方向,包括潜在的攻击面和防御机制增强的思路.

基于变形的二进制代码混淆技术研究

二进制代码保护技术不受源码语言约束,适用性更广。结合等价变形、控制流混淆、动态加解密等技术,研究并实现了二进制代码混淆保护原型系统MEPE。在MEPE中,基于拆分或替换指令的操作,以及算术和逻辑等价式,设计等价变形规则及对应的等价变形模板函数,对二进制代码进行等价变形。通过理论分析,证明了变形的多样性效果;利用控制流混淆对变形后代码块进行"切片乱序",由地址跳转表管理跳转地址,并通过动态加解密对其进行保护;深入分析循环体中被保护指令对时间开销的影响,提出了与指令循环深度相关联的迭代次数与切片粒度的计算方法。MEPE具有保护强度可调节、功能可扩展、保护效果多样、性能消耗低等特点。通过实验分析迭代次数、切片粒度对时间消耗的影响,验证了对循环体中被保护指令控制的作用和意义,以及保护效果的多样性。经过MEPE处理后的二进制代码在时间损耗较小的情况下,可有效增加攻击者静态和动态分析的难度,提高了二进制可执行代码的安全性。

基于特征提取的二进制代码比较技术

二进制代码比较技术在病毒变种分析、安全补丁分析、版本信息导出等许多领域都有着广泛的应用。在定义了基于图的二进制代码描述方法的基础上,从函数和基本块两个层次对近似的二进制代码进行比较,分析出它们之间相同的部分和差异信息。讨论了基于图的二进制文件特征的选取,利用特征比较和固定点传播算法,建立两份代码在函数和基本块两个级别的对应关系。论文给出了这种基于特征提取的二进制代码比较技术的实现框架,并列举了它在恶意软件变种分析,公开漏洞定位方面的利用实例。

一种精简二进制代码的程序理解方法

精简二进制代码形式的软件是软件分析和程序理解需要处理的一类具有代表性的对象,基于高级语言源代码和调试符号信息的传统分析方法在处理此类软件时受到了极大限制。提出一种精简二进制形式软件的理解方法,首先将分析对象转变为运行期进程,引入实际运行中的进程信息;然后引入程序的行为特征,以程序表现出的外在行为和对外接口作为辅助信息,将此类外部特征映射到程序代码;最后基于切片思想和调试技术,获得程序切片并分析。这种方法为分析理解过程扩展了信息量,降低了复杂度,解决了分析此类软件时信息缺失和难以建立理解模型的问题。

二进制代码测试覆盖率评估系统设计与实现

针对模糊测试终止时机问题,提出了二进制代码测试覆盖率评估方法,通过二进制代码的静态与执行轨迹动态两种分析,可评估模糊测试对目标程序二进制代码的测试覆盖,从而设计并实现了二进制测试覆盖率评估系统。该系统给出了测试用例集合对目标可执行程序二进制基本块及二进制指令集的覆盖率和路径覆盖数指标,以度量测试用例质量。

二进制代码分析与反分析技术开放实验的探索

介绍了南开大学信息安全专业二进制代码分析和反分析技术开放实验开展情况,包括实验目的制定、实验内容设计和实验组织管理等方面。总结分析这类实验,目的是探索本科生通过参与前沿科学研究来提高其创新能力的人才培养模式。

二进制代码分析实验平台设计

为了培养学生的创新意识、提高其创新实践能力,南开大学信息安全面向本科生开展了"恶意代码及其防治技术"开放实验项目。"二进制代码分析"是该开放实验项目的重要内容之一。基于上述开放实验项目,该文探讨了"二进制代码分析"实验平台的设计问题,包括实验平台的设计思想与目标、实验平台的总体框架、实验平台的组成部分功能分析等。

二进制代码级函数指针攻击机理与检测研究

尽管有许多防御和保护机制已经被引入到现代操作系统中,但内存泄漏漏洞仍然对软件系统和网络安全造成巨大威胁.对于返回导向式编程ROP攻击(Return Oriented Programming)通常利用缓冲区溢出漏洞改写函数的返回地址,而函数指针在c/c++中普遍存在,比如struct结构体和虚函数中都含有大量的函数指针.本文通过实验表明了覆盖函数指针发起的ROP攻击是存在的并且提出fpDetect检测方法用来检测这种攻击.采取二进制代码插桩技术与动态检测相结合,大大提高了检测的准确性.通过实验证明了fpDetect检测方法可以应用在Linux和windows操作系统中.

二进制代码分析实验平台搭建

二进制代码分析实验平台是南开大学信息安全专业"恶意代码分析"课程基本的实验环境。本文就如何在实验室中搭建基于Bit Blaze的二进制代码分析实验平台进行了详细的阐述,包括实验平台的架构、实验平台安装环境部署、实验平台的安装、实验平台的使用流程等内容,以期对与二进制代码分析相关的实验环境的搭建和使用起到很好的参考作用。

二进制代码内联库函数识别

内联库函数识别是二进制代码分析的难点问题之一。主要的挑战来自在编译优化的作用下,内联库函数在目标函数中存在多态性和不连续性。本文构建函数的执行流图,将内联库函数识别问题转化为执行流图子图同构测试问题。实验中,对四个常被编译器内联的字符串操作函数,使用MSVC10和ICC14这两个编译器在5个开源软件中进行内联库函数识别测试。实验结果表明,本文方法可以有效识别二进制代码中的内联库函数。

基于FPGA的二进制代码转换电路的设计与实现

通过对可编程逻辑器件FPGA基础知识的学习,以此平台进行二进制代码转换电路的设计与实现,并使用Quartus II软件进行仿真实验测试,验证了系统的正确性。与传统二进制代码转换电路相比,使用FPGA来进行二进制代码转换电路能够显著缩短设计的时间、减少外围电路的数量、降低开发成本、提高系统的可靠性,达到快速上市和降低成本的要求。

基于抽象解释的二进制代码变量区间分析

在二进制代码分析中,传统的区间分析方法难以有效获得变量的取值范围。针对二进制代码变量特点,基于抽象解释理论,该文提出字级数据区间和位级数据区间的概念,分别对数值型数据变量和位级数据变量进行抽象表示;将抽象区间用于二进制代码变量运算,构建字级数据区间和位级数据区间的运算方法;引入区间集的概念,确立字级数据区间和位级数据区间的转换关系,提出字级数据区间和位级数据区间的相互转换算法。实验结果表明,该文提出的基于抽象解释的二进制代码变量区间分析方法能够精确高效地确定二进制代码变量的取值范围。

二进制代码相似度分析及在嵌入式设备固件漏洞搜索中的应用

在当今“万物互联”的时代,嵌入式系统逐渐成为接入云端的重要组件,常用于安全和隐私敏感的应用或设备中.然而,其底层软件(即固件)也在频繁遭受着安全漏洞的影响.由于嵌入式设备底层硬件平台的复杂异构,软硬件实现差异较大,且其专用性强、源码/文档等往往不会公开,加之其运行环境受限等原因,使得一些在桌面系统上运行良好的动态测试工具很难(或根本不可能)直接适配到嵌入式设备/固件环境中.近年来,研究人员逐渐开始探索基于二进制相似度分析技术来检测嵌入式设备固件中存在的已知漏洞,并且取得了较大的进展.围绕二进制代码相似度分析面临的关键技术挑战,系统研究了现有的二进制代码相似度分析技术,对其通用流程、技术特征、评估标准进行了综合分析和比较;然后分析并总结了现有二进制代码相似度分析技术在嵌入式设备固件漏洞搜索领域的应用;最后,提出了该领域应用仍然存在的一些技术挑战及未来的一些开放性的研究方向.

二进制代码相似性搜索研究进展

随着物联网和工业互联网的快速发展,网络空间安全的研究日益受到工业界和学术界的重视。由于源代码无法获取,二进制代码相似性搜索成为漏洞挖掘和恶意代码分析的关键核心技术。首先,从二进制代码相似性搜索基本概念出发,给出二进制代码相似性搜索系统框架;然后,围绕相似性技术系统介绍二进制代码语法相似性搜索、语义相似性搜索和语用相似性搜索的发展现状;其次,从二进制哈希、指令序列、图结构、基本块语义、特征学习、调试信息恢复和函数高级语义识别等角度总结比较现有解决方案;最后,展望二进制代码相似性搜索未来发展方向与前景。

基于空间约束的二进制代码重写技术研究

二进制代码重写是程序分析领域的一个热点研究方向。提出一种基于空间约束的静态二进制代码重写技术,在保持代码功能和结构的情况下实现自动化重写。介绍二进制代码重写的设计思路,描述空闲空间构造和管理的策略,给出空间约束的代码重写算法。实验结果证明了该技术的有效性和可靠性。

基于预训练汇编指令表征的二进制代码相似性检测方法

二进制代码相似性检测技术近年来被广泛用于漏洞函数搜索、恶意代码检测与高级程序分析等领域,而由于程序代码与自然语言有一定程度的相似性,研究人员开始借助预训练等自然语言处理的相关技术来提高检测准确度。针对现有方法中未考虑程序指令概率特征导致的准确率提升瓶颈,提出了一种基于预训练汇编指令表征技术的二进制代码相似性检测方法。设计了面向多架构汇编指令的分词方法,并在控制流与数据流关系基础上,考虑指令间顺序出现的概率与各个指令单元使用的频率等特征设计预训练任务,以实现对指令更好的向量化表征;结合预训练汇编指令表征方法,对二进制代码相似性检测下游任务进行改进,使用表征向量替换统计特征作为指令与基本块的表征,以提高检测准确率。实验结果表明,与现有方法相比,所提方法在指令表征能力方面最高提升23.7%,在基本块搜索准确度上最高提升33.97%,在二进制代码相似性检测的检出数量上最高增加4倍。

基于状态转换模型的二进制代码缓冲区溢出漏洞检测

根据缓冲区溢出的基本原理,提出一种基于状态转换模型的二进制代码缓冲区溢出漏洞检测方法。该方法以可执行程序为分析目标,从而使漏洞检测过程摆脱对程序源代码的依赖。详细描述该漏洞检测方法的技术细节,并给出该方法与流行的缓冲区溢出漏洞检测方法的对比。

基于机器学习的二进制代码相似性分析技术综述

二进制代码相似性分析技术用于实现二进制代码的相似性评估,从而对二进制代码的同源性进行推断,广泛应用于知识产权保护、漏洞搜索、补丁分析、恶意软件检测等领域。基于机器学习的二进制代码相似性分析技术具有准确率高、算法复杂度低、伸缩性好等优点,成为该领域的研究热点。从特征与模型两个方面,对近年来提出的基于机器学习的二进制代码相似性分析方法进行了综述,理清了近年来基于机器学习的二进制代码相似性分析技术的发展脉络,并对该领域的发展方向进行了分析与论述。